SpyShelter v. luka w mechanizmie OLE Packeger (Microsoft Office)
#1
?Mechanizm OLE to najprościej rzecz ujmując technologia Microsoftu, która pozwala wprowadzać/osadzać dokumenty lub ich fragmenty w dokumentach innego rodzaju np. wykres czy tabelkę z Excela w dokumencie tekstowym Word (edycja wklejonego arkusza jest aktualizowana w pliku macierzystym)...podobnie jest np. z wklejaną grafiką. Mechanizm jest "stary jak świat" i służy użytkownikom ju ż lat ponad 20 (od 1993). Częścią tego mechanizmu jest tzw. OLE Packager wprowadzony wraz Windows XP i pozwalający na wprowadzać do plików obsługujących OLE kod/obiekt przez ten mechanizm nieobsługiwany.
Lukę w tym mechanizmie znalazł badacz Kevin Beaumont , który poinformował o tym Microsoft jeszcze w marcu b.r...jak opisuje nie otrzymał odpowiedzi...więcej nawet producent pakietu MS Offiice uważa tę lukę za jego cechę charakterystyczną (?)


Cytat:VENDOR RESPONSE

Microsoft were notified in March about the problem, and that threat
actors were experimenting with it in the wild.  At the time they asked
me not to post information about the problem online.  They have not
addressed the problem, and believe it is a feature of Office.
 
OK...to nie wszystko jednak...problem tkwi nie tylko w tym, że zbagatelizowano rzecz, ale w tym także, że mechanizm tak (źle) działający pozwala na wprowadzenie złośliwego kodu do powszechnie używanych dokumentów bez zająknięcia niemal ze strony sygnaturowych programów i mechanizmów zabezpieczających...ponoć żaden AV nie wykrywa tak spreparowanych plików jako podejrzanych/niebezpiecznych. Ponadto wprowadzenie pliku wykonywalnego w postaci archiwum ZIP również omija większość mechanizmów chroniących system, nie zapobiega wykonaniu osadzonego kodu zablokowanie makr.
Pytanie czy to faktycznie działa...no działa niestety, o czym przekonałem się sam. Stwierdziłem, że sprawa jest na tyle interesująca, że dobrze będzie sprawdzić, jak sobie z takim zagrożeniem poradzi SpyShelter, który ma mnie chronić, a autor zgłoszenia stworzył takie próbne szkodliwe  pliki Word i Excel...nie pozostawało nic innego tylko włączyć tryb wirtualny w SD i odpalić spreparowane pliki.

Na pierwszy ogień poszedł plik o nazwie OrderRemittance , a efektem uruchomienia były kolejne komunikaty, które przedstawiam na poniższych screenach (SS ustawiony jest u mnie na poziomie "pytaj użytkownika" i nie ma zaznaczonej opcji automatycznego blokowania podejrzanych aplikacji). Pierwsze 8 akcji zostało zezwolonych

[Aby zobaczyć linki, zarejestruj się tutaj]


[Aby zobaczyć linki, zarejestruj się tutaj]


kolejne 3 to wszystkie jakie zarejestrowałem...komunikat nr 9 po zezwoleniu spowodował kolejne 2 komunikaty w tym jeden nie od SS...komunikaty ze względu na brak możliwości normalnego funkcjonowania myszki, skrótów klawiaturowych, menu otwartych okien zostało wykonane już z "zewnątrz" za pomocą telefonu Smile Mój system nie był mój i wcale się nie dziwię, że jest to na pewno sposób, by przejąć dowolną raczej maszynę.
Jak widać SS wciąż działał i ostrzegał, ale nie sposób było prawidłowo na te komunikaty reagować.


[Aby zobaczyć linki, zarejestruj się tutaj]


Przetestowałem zachowanie SS wobec pozostałych udostępnionych plików - SalesInvoice.docx oraz SalesInvoice.rtf...tym razem jednak akcję "nr 9" zablokowałem, co spowodowało przy kolejnych próbach automatyczne blokowanie i uniknięcie "infekcji".

[Aby zobaczyć linki, zarejestruj się tutaj]


K. Beaumont radzi w tej sytuacji skorzystać z EMET, ale to może zablokować prawidłowo osadzone obiekty

Cytat:If you have Microsoft EMET already deployed, add a rule for Excel,
Winword and Powerpoint -- it needs to be an ASR rule which denies
packager.dll.  Because you cannot control this on a
document-by-document basis, you may break legitimate OLE Packager
usage (e.g. embedding Excel documents in PowerPoint).


Źródło

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]


-----------
edit:
Uwaga jeszcze...moim celem nie było udowodnienie, że SpyShelter wykryje i zablokuje samodzielnie uruchomienie szkodliwego kodu wewnątrz spreparowanego dokumentu...widać dokładnie, że nie zrobi tego bez naszej decyzji o zablokowaniu. Chodziło mi o pokazanie, że jest on wrażliwy i wykrywa na tyle dużo akcji, że każdemu powinny dać do myślenia i spowodować uważniejsze reagowanie na ostrzeżenia...że można to zrobić w miarę bezpiecznie na różnym etapie kolejnych czynności.
Nie wiem czy podobnie lub tak samo zareaguje jakiś inny program monitorujący system...może ktoś z forumowiczów spróbuje to przetestować?
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#2
Bardzo ciekawy temat, jak zawsze u Ciebie, Ichito. Tak podskórnie czułem, że ten mechanizm luki ma...
Ciekawe, jak się by zachował moduł kontroli zachowań, np. z Emsi lub Gdaty.
Odpowiedz
#3
Hmm

ichito a był taki komunikat ?

[Aby zobaczyć linki, zarejestruj się tutaj]


Dla mnie komunikat spysheltera z ukrywaniem danych w strumieniu danych jest jasny,część malware właśnie tak robi. Z tego poziomu malware może przechowywać lub dołączać szkodliwe elementy do plików wykonywalnych.
Odpowiedz
#4
@tachion
U mnie był nieco inny, ale też ostrzegawczy...to pewnie zależy od systemu albo może bardziej od wersji pakietu Office?...ja mam 2010 Smile

[Aby zobaczyć linki, zarejestruj się tutaj]


Już jeden taki alert może dać do myślenia, ale doskonale wiemy...patrz dział leczenie infekcji...że często nie ma znaczenia ani sam fakt pojawienia się ostrzeżenia, ani jego treść, bo użytkownik i tak za wszelką cenę chce dowiedzieć się co za "niespodzianka/niezwykła oferta" kryje się dalej. Wtedy każda decyzja to "zezwól".
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości